一款拥有超过1000万用户的Chrome扩展隐藏了注入远程脚本的功能。这种未经许可修改网页的能力使这些插件成为安全风险。教训很明确:即使是最受欢迎的工具也可能在不知不觉中危及你的隐私。
Chrome扩展后门的工作原理 🔍
隐藏在拦截器逻辑中的恶意代码允许外部服务器发送任意指令。这意味着脚本可以篡改表单、窃取凭证或将用户重定向到虚假网站。Chrome的API无法检测到这些隐藏功能,因为权限看起来是合法的。开发者利用用户的信任来植入未记录的功能。
那个拦截器,却拦截了你的安全 ⚠️
结果,当你自以为没有广告很安全时,这个拦截器却在做和你讨厌的广告一样的事情:注入外来代码。讽刺的是,你为这个承诺保护你的工具付出了隐私的代价。现在,除了看到干净的页面,你还可能在不知不觉中泄露你的数据。这几乎就像用一个烦人的广告换了一个隐形的间谍。